Post on 01-Feb-2018
Sistema Efectivo de Análisis de Riesgo (SEAR)Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado FONAFE
Taller a Personal Clave
Lima, 21 de octubre 2015
Agenda – Día 2Actividades de ControlIII
IV Evaluación de Riesgos
V Tratamiento al Riesgo
VI Seguimiento y Monitoreo Continuo
VII Actividades de Reporte del SEAR
3.1 Criterios para la identificación y documentación de controles3.2 Clasificación de Controles
4.1 Definición de la criticidad por probabilidad e impacto4.2 Evaluación del riesgo inherente4.2 Evaluación del riesgo residual
5.1 Elaboración de estrategias de tratamiento al riesgo5.2 Elaboración de planes de acción5.3 Definición y documentación de KRI’s
6.1 Cronograma de seguimiento a los planes de acción6.2 Evaluación del riesgo residual y actualización su calificación6.3 Evaluación de efectividad de controles y actualización de controles6.4 Evaluación de KRI’s y modificación de estrategias de tratamiento al riesgo y planes de acción
7.1 Reporte del avance de la implementación del plan de gestión de riesgos a FONAFE7.2 Autoevaluación del nivel de madurez del SEAR
III Actividades de Control
Página 4
III. Actividades de Control
La identificación y clasificación de controles consiste en la identificación de los esfuerzos realizados por la Empresa para procurar que los riesgos se encuentren dentro del nivel de apetito de riesgo.
III. Actividades de Control
3.1 Criterios para la identificación y documentación de controles
Identificación de las actividades que existen para controlar los riesgos identificados.
3.2 Clasificación de Controles
Los controles se clasifican según la periodicidad en que se ejecutan y su grado de automatización.
Página 5
3.1 Criterios para la identificación y documentación de controles
¿Qué es un control?
Es una actividad que tiene como finalidad reducir la criticidad de un riesgo al cual se encuentra asociado.
Ejemplo de Control:
“Semanalmente, el Gerente de Administración, revisa y aprueba en la plataforma de pagos las transferencias a proveedores, para ello verifica que cada pago cuente con su factura, firma de autorización del usuario y sustento respectivo, de ser conforme, aprueba la transferencia en la plataforma de pagos, de lo contrario, solicita los cambios correspondientes”.
III. Actividades de Control
¿Cuándo?
1¿Quién?
2¿Qué?
3¿Cómo?
4Evidencia
5
¿Cómo documentarlo?Definir:
Página 6
3.2 Clasificación de controlesLos controles se clasifican según: (i) la oportunidad en la que se ejecutan, y (ii) el grado de automatización.
Según automatización
III. Actividades de Control
Tipos de controles
Según oportunidad
PreventivoAyuda a evitar la ocurrencia de un riesgo
DetectivoPermite identificar errores luego de ocurrido el riesgo.
ManualDepende de la habilidad de una persona para prevenir o detectar los errores ocurridos.
Semi-AutomáticoDepende de la habilidad de una persona para prevenir o detectar los errores ocurridos, utilizando información proveniente de un sistema.
AutomáticoEs realizado a través de un sistema de información.
IV Evaluación de Riesgos
Página 8
IV. Evaluación de Riesgos
La evaluación de riesgos tiene como objetivo determinar la criticidad de los riesgos a los que la Empresa está expuesta y, así, definir un tratamiento de riesgos adecuado, priorizando los esfuerzos hacia los riesgos más críticos.
IV. Evaluación de Riesgos
4.1 Definición de la criticidad por probabilidad e impacto
Determinación de la criticidad de un riesgo evaluando el grado de posibilidad de que este ocurra y el nivel del daño que causaría.
4.2 Evaluación del riesgo inherente
Evaluación de la criticidad de un riesgo en su estado natural, antes de aplicar controles.
4.3 Evaluación del riesgo residual
Evaluación de la criticidad del riesgo luego de haber aplicado el control. Determinación de la efectividad del control sobre el riesgo.
4 A A E
E
3 M A A
E
Prob
abili
dad
2 B M M
A
1 B B B
M
1 2 3 4 Impacto
Página 9
ImpactoSeveridad del riesgo2
4.1 Definición de la criticidad por probabilidad e impacto
Los riesgos son evaluados en función de dos variables:
La definición de estos criterios debe encontrarse alineada al nivel de apetito de riesgo.
4 A A E
E
3 M A A
E
Prob
abili
dad
2 B M M
A
1 B B B
M
1 2 3 4 Impacto
Para estandarizar el análisis de la criticidad de cada variable, se definen criterios generales de calificación, los cuales deben ser revisados y actualizados en el tiempo.
IV. Evaluación de Riesgos
ProbabilidadFrecuencia de ocurrencia del riesgo1
La evaluación de riesgos involucra la evaluación del riesgo inherente como la del riesgo residual.
Riesgo inherente Riesgo residual
Riesgo:
Que se produzcan accidentes laborales debido a que el personal no cuenta con el EPP necesario.
Página 10
CriteriosCuantitativo
% Utilidad Antes de Impuestos
Cualitativo
Reclamos o Denuncias
Objetivos Estratégicos
Incumplimientos legales / regulatorios
Reputación/ Imagen
4 A A E
E
3 M A A
E
Prob
abili
dad
2 B M M
A
1 B B B
M
1 2 3 4 Impacto
El impacto es el nivel de exposición de la Empresa ante un riesgo. El impacto puede ser cuantitativo como cualitativo.
4.1 Definición de la criticidad por probabilidad e impactoIV. Evaluación de Riesgos
Página 11
La probabilidad de ocurrencia es el grado de posibilidad de que ocurra un riesgo en un período. Puede ser estimada en función a cuántas veces históricamente el riesgo ha ocurrido, o qué posibilidad existe de que ocurra en el futuro.
Escala Probabilidad
1. Bajo El evento no ha ocurrido pero podría presentarse al menos 1 vez en el año.
2. Medio El evento podría ocurrir entre 3 a 4 veces al año.
3. Alto El evento podría ocurrir de manera mensual.
4. Extremo El evento podría ocurrir de manera semanal o diaria.
4 A A E
E
3 M A A
E
Prob
abili
dad
2 B M M
A
1 B B B
M
1 2 3 4 Impacto
4.1 Definición de la criticidad por probabilidad e impactoIV. Evaluación de Riesgos
Página 12
La criticidad de un riesgo es la medida que surge de la combinación de sus niveles de probabilidad e impacto. De acuerdo a la criticidad, la Empresa puede identificar los riesgos cuya respuesta es más urgente.
Tipos de riesgos de acuerdo a su criticidad:
► Riesgos bajos► Riesgos medios► Riesgos altos► Riesgos extremos
4 A A EE
3 M M A E
Prob
abilid
ad2 B M M A
1 B B M A
1 2 3 4Impacto
Mapa de riesgos
Uno de los objetivos de la Gestión de Riesgos es mantener la mayor parte de los riesgos en la zona inferior izquierda, donde son menos críticos.
4 A A E
E
3 M A A
E
Prob
abili
dad
2 B M M
A
1 B B B
M
1 2 3 4 Impacto
4.1 Definición de la criticidad por probabilidad e impactoIV. Evaluación de Riesgos
Página 13
4.2 Evaluación del riesgo inherente
Un riesgo inherente es aquel riesgo en su forma natural sin el efecto mitigante de los controles.
Reflejan la exposición de la Empresa a la ocurrencia de un evento de impacto negativo.
Si bien estos riesgos no pueden eliminarse por completo, es posible implementar controles que mitiguen la probabilidad de ocurrencia y/o el impacto del riesgo en la Empresa.
4 A A EE
3 M M A E
Probabilidad
2 B M M A
1 B B M A
1 2 3 4Impacto
Se debe documentar un mapa de riesgo con la evaluación del riesgo inherente
IV. Evaluación de Riesgos
Página 14
4.3 Evaluación del riesgo residual
El nivel de riesgo al que está sometido una Empresa nunca puede erradicarse totalmente, es importante alinear el mismo a la tolerancia al riesgo definida por la Empresa.
4 A A E E
3 M M A E
Prob
abilid
ad
2 B M M A
1 B B M A
1 2 3 4Impacto
Se debe documentar un nuevo mapa de riesgo con la evaluación del riesgo residual
IV. Evaluación de RiesgosUn riesgo residual es el riesgo restante luego de haber aplicado los controles.
RiesgosInherentes
Evaluaciónconsiderando los
controles disponibles
RiesgosResiduales
V Tratamiento al Riesgo
Página 16
V. Tratamiento al Riesgo
El tratamiento que se le brinda a un riesgo tiene como propósito mantener la criticidad del riesgo dentro de los niveles de apetito al riesgo definidos por la Empresa.
V. Tratamiento al Riesgo
5.1 Elaboración de estrategias de tratamiento al riesgo
Definición de estrategias de tratamiento a los riesgos identificados para mantenerlos dentro de los niveles establecidos en el apetito de riesgo.
5.2 Elaboración de planes de acción
Establecimiento de planes de acción que materialicen las estrategias de tratamiento al riesgo.
5.3 Definición y documentación de KRI’s
Seguimiento al desarrollo de las estrategias de respuesta al riesgo en base a métricas.Permite desarrollar un sistema de predicción y seguimiento del tratamiento de los riesgos
Página 17
V. Tratamiento al Riesgo5.1 Elaboración de estrategias de tratamiento al riesgo
Existen diversas alternativas para administrar los riesgos de acuerdo a sus características.Una vez realizada la evaluación del riesgo residual y de acuerdo al apetito de riesgo definido, se debe escoger la opción de tratamiento a seguir.
Estrategia ¿Qué hacer? ¿Cuándo?
Evitar Dejar de realizar la actividad ligada al riesgo.
El beneficio de implementar un control es menor al costo de la materialización del riesgo inherente.
Reducir o Mitigar
Disminuir la probabilidad de ocurrencia e impacto.
El beneficio de implementar un control es mayor al costo del riesgo inherente y la Empresa se encuentra en capacidad de realizar el tratamiento del riesgo.
TransferirTransferir a un tercero la administración del riesgo o enfrentar las pérdidas originadas.
El beneficio de implementar un control es mayor al costo del riesgo inherente y un tercero tiene mayor capacidad para realizar el tratamiento del riesgo.
Retener Conservar el riesgo en su presente nivel.
El control (efectivo) no disminuye la criticidad y el riesgo debe permanecer monitoreado pues afecta a la Empresa.
Explotar No definir actividades de control para que el riesgo se materialice.
Se presenta una oportunidad al momento en que el riesgo se materializa; y el beneficio obtenido es mayor al costo.
Eliminar Eliminar la causa raíz que ocasiona el riesgo.
Es factible eliminar la causa que ocasiona el riesgo. El beneficio obtenido por esta acción es mayor al costo.
Página 18
El plan de acción es la medida a implementarse para aplicar la estrategia de tratamiento definida sobre el riesgo identificado.
Definición de Planes de acción
Es necesario definir planes de acción cuando:
► El control que mitiga al riesgo se encuentra mal diseñado.► El riesgo no cuenta con un control.► El riesgo residual se encuentra por encima de los niveles de tolerancia al riesgo.
Se debe definir los responsables de su implementación así como la fecha de inicio y fin.
V. Tratamiento al Riesgo5.2 Elaboración de planes de acción
Para la realización de los planes de acción se debe considerar:
► Tiempo: si será necesario el pago de horas extras o si el personal se dará abasto para la tarea.► Infraestructura: si se tendrá que adquirir nueva infraestructura o realizar modificaciones a la actual.► Conocimiento técnico: si será necesario contratar a un tercero.
La necesidad de estos recursos se debe plasmar en el presupuesto anual.
Necesidades de recursos y contingencias
Las actividades de control, resultados de las evaluaciones de riesgo, estrategias de tratamiento y planes de acción, deberán documentarse en una Matriz de Riesgos y Controles a nivel entidad y por proceso
Página 19
El valor meta debe alinearse al apetito de riesgo.
V. Tratamiento al Riesgo5.3 Definición y documentación de Key Risk Indicators - KRI’s
¿Qué riesgos requieren unKRI´S?
Características
Ejemplos de KRI´S Base de datos de eventosde pérdidas
► Riesgos residuales de severidad igual o mayor a Alto.
► Riesgos de acuerdo al criterio del dueño del proceso.
► Ser dinámico.► No redundante.► Medible.► De fácil implementación.► Auditable.
► Tasa de rotación del personal. ► Número de accidentes
ocupacionales.► Número de ataques
informáticos. ► Número de quejas de los
clientes.
La base de datos de eventos de pérdidas dará soporte a los KRI´S. La cual debe actualizarse trimestralmente.
Los KRI´s son métricas financieras u operacionales que ofrecen una base razonable para estimar la probabilidad de ocurrencia y severidad de uno o más eventos de riesgo.
VI Seguimiento y Monitoreo Continuo
Página 21
VI. Seguimiento y Monitoreo ContinuoLas acciones e indicadores producto de las fases previas deben estar en constante seguimiento y monitoreo continuo, de modo que la gestión de los riesgos se desarrolle de acuerdo a lo establecido.
VI. Seguimiento y Monitoreo Continuo
6.1 Cronograma de seguimiento a los planes de acción
Los planes de acción definidos se consolidan y monitorean a través de un cronograma de implementación.
6.2 Evaluación del riesgo residual y actualización de su calificación
Evaluación del riesgo residual para determinar si ha disminuido a causa del despliegue de planes de acción, en función a las estrategias de tratamiento.
6.3 Evaluación de efectividad de controles y actualización de controles
Evaluación de la pertinencia de los controles para disminuir el riesgo residual.
6.4 Evaluación de KRI’s y modificación de estrategias de tratamiento al riesgo y planes de acción
Evaluación de KRI’s para determinar la necesidad de modificar estrategias de tratamiento y planes de acción.
Página 22
6.1 Cronograma de seguimiento a los planes de acción
Definición del Cronograma de implementación
Los planes de acción definidos deben consolidarse y monitorearse a través de un cronograma de implementación utilizando la herramienta Gantt.
VI. Seguimiento y Monitoreo Continuo
Página 23
6.2 Evaluación del riesgo residual y actualización de su calificación
Se debe evaluar si las estrategias de tratamiento al riesgo implementadas tuvieron algún impacto en los riesgos residuales.
g
Riesgos Residuales
Reclasificación de Riesgos Residuales
Estrategias de Tratamiento de
Riesgos
VI. Seguimiento y Monitoreo Continuo
De esta manera, se vuelven a clasificar los riesgos residuales con la criticidad actualizada.
Página 24
6.3 Evaluación de efectividad de controles y actualización de controlesVI. Seguimiento y Monitoreo Continuo
Efectividad de los controles
El riesgo residual sirve como principal indicador para medir la efectividad de los controles, midiendo la variación entre el riesgo inherente y el residual.
Calificación del control Probabilidad Impacto
Fuerte2 niveles hacia
abajo2 niveles hacia la
izquierda
Moderado1 nivel hacia
abajo1 nivel hacia la
izquierda
Débil0 nivel hacia
abajo0 nivel hacia la
izquierda
Página 25
6.3 Evaluación de efectividad de controles y actualización de controles
Criterios para definir el beneficio – costo de los controles
Beneficio
Costo
Cuantificación del beneficio de la implementación de un control al cumplimiento de los objetivos de la Empresa.
Cuantificación del costo de la implementación de un control.
La evaluación del beneficio – costo debe esta alineado al apetito de riesgo de la Empresa.
Criterios de diseño y efectividad
Un control se considera deficiente en los siguientes casos:
Deficiencia Descripción
Diseño del control
► Si el diseño del control no permite prevenir o detectar errores.
► Si el control en su estadoactual no alcanza el objetivo para el que fue creado.
Operatividad del control
► Cuando un control apropiadamente diseñado no opera como está diseñado.
► Cuando el responsable de realizar el control no posee la autoridad y/o calificación necesaria para realizarlo.
VI. Seguimiento y Monitoreo Continuo
Página 26
Para evaluar el diseño del control se deberá considerar lo siguiente:
1. AutomatizaciónControl Manual 1Control Semi Automático 2Control Automático 3
2. ObjetivoEl control no mitiga el riesgo 1El control mitiga el riesgo parcialmente
2
El control mitiga al riesgo 3
3. DefiniciónNo se han definido actividad, periodicidad, evidencia y responsable.
1
Se han definido parcialmente actividad, periodicidad, evidencia y responsable.
2
Se han definido actividad, periodicidad,evidencia y responsable.
3
Calificación Diseño
De 0 a 3 DébilMayor a 4 hasta 6
Moderado
Mayor a 7 hasta 9
Fuerte
Se asigna un puntaje por cada característica:
6.3 Evaluación de efectividad de controles y actualización de controlesVI. Seguimiento y Monitoreo Continuo
Para evaluar la operatividad del control se deberá considerar lo siguiente:
Acciones realizadas para validar que la información sobre los controles a probar es correcta o requiere alguna revisión.
Técnicas de verificación ocularComparaciónObservación
Técnicas de verificación oralIndagaciónEntrevista
Técnica de verificación escritaAnalizarConfirmaciónConciliación
Técnicas de verificación documentalComprobaciónComputaciónRastreo
Técnicas de verificación físicaInspección
OtrasRevisión selectiva
Recorrido Pruebas de Efectividad
Página 27
Evaluación de Controles
Diseño Ejecución Calificación Total
Débil Débil DébilDébil Moderado DébilDébil Fuerte Débil
Moderado Débil DébilModerado Moderado ModeradoModerado Fuerte Moderado
Fuerte Débil DébilFuerte Moderado ModeradoFuerte Fuerte Fuerte
La calificación total del control se determinará de los resultados obtenidos en la evaluación del diseño y ejecución.
6.3 Evaluación de efectividad de controles y actualización de controlesVI. Seguimiento y Monitoreo Continuo
Página 28
6.4 Evaluación de KRI’s y modificación de estrategias de tratamiento al riesgo y planes de acción
VI. Seguimiento y Monitoreo Continuo
Es importante monitorear que el valor de los KRI’s se encuentre dentro de los niveles definidos.
La clave está en el trabajo conjunto con los Dueños de Proceso
► Sostener reuniones periódicas para monitorear el estado de los KRI’s
► Indagar los motivos que generan las posibles desviaciones.
► Identificar oportunidades de mejora en el diseño de los KRI’s
► Identificar la necesidad de implementar nuevos KRI’s
VII Actividades de Reporte del SEAR
Página 30
VII. Actividades de Reporte del SEAR
La totalidad de la gestión de riesgos de la Empresa debe ser monitoreada con el fin de realizar las modificaciones necesarias. De este modo, a través de los 3 componentes de evaluación se logra un monitoreo más objetivo de la gestión de riesgos:
VII. Actividades de Reporte del SEAR7.1 Reporte del avance de la implementación del plan de gestión de riesgos a FONAFE
Presentación semestral del cumplimientos del Plan de Gestión de Riesgos a FONAFE.
7.2 Autoevaluación del nivel de madurez del SEAR
Presentación anual de los resultados del desempeño del SEAR a FONAFE.
7.3 Evaluación del SEAR por FONAFE
Evaluación anual del nivel de madurez del SEAR realizada por personal interno de FONAFE o un tercero.
La evaluación anual del nivelde madurez del SEAR serárealizada por FONAFE.
Página 31
7.1 Reporte del avance de la implementación del plan de gestión de riesgos a FONAFE
Quincenalmente, la función a cargo de la ejecución del SEAR (Nivel 2) deberá revisar en coordinación con los dueños de proceso (Nivel 3) el despliegue de las actividades contenidas en el Plan de Gestión de Riesgos, y semestralmente deberá presentar al Directorio (Nivel 1) el nivel de avance, ello deberá ser reportado a FONAFE.
VII. Actividades de Reporte del SEAR
Página 32
7.2 Autoevaluación del nivel de madurez del SEAR
Anualmente, la función a cargo de la ejecución del SEAR (Nivel 2) debe evaluar el nivel de madurez en gestión de riesgos. La aprobación de los resultados estará a cargo del Directorio (Nivel 1).
El nivel de madurez se medirá utilizando el modelo desarrollado por EY.
Componentes1. Propósito2. Recursos Humanos3. Desarrollo de habilidades4. Plan de carrera5. Metodología6. Herramientas y tecnología7. Estructura organizacional8. Operaciones9. Soporte y mejora continua
Niveles de madurez1. Inicial / no existe2. Propósito3. En procesos de implementación4. Establecido / implementado5. Optimizado / Práctica líder
VII. Actividades de Reporte del SEAR
Sistema Efectivo de Análisis de Riesgo (SEAR)Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado FONAFE
Taller a Personal Clave
Lima, 21 de octubre 2015